Spring Boot 3 + Security 6实战：从零搭建一个带JWT和Redis的登录认证系统（附完整源码）

Spring Boot 3与Security 6深度整合构建现代化JWT认证体系的最佳实践在当今快速发展的互联网应用中安全认证系统如同数字世界的守门人保护着用户数据与应用资源。Spring Boot 3与Spring Security 6的强强联合为开发者提供了一套既强大又灵活的认证授权解决方案。本文将带您深入探索如何利用JWT与Redis构建一个既安全又高效的现代化认证系统特别适合那些希望掌握最新技术栈的初中级开发者。1. 环境准备与项目初始化构建一个安全的认证系统始于正确的项目配置。Spring Boot 3带来了诸多改进而Spring Security 6则彻底改变了传统的配置方式。让我们从创建一个干净的项目开始spring init --dependenciesweb,security,data-redis,validation,lombok jwt-auth-demo关键依赖说明依赖项版本作用Spring Boot Starter Security3.x提供核心安全功能Spring Data Redis3.xRedis集成支持JJWT0.11.5JWT生成与验证Lombok1.18.28简化样板代码在application.yml中配置Redis连接和JWT参数spring: redis: host: localhost port: 6379 security: jwt: secret: your-256-bit-secret expiration: 3600 # 1小时过期提示生产环境中务必使用加密的密钥库管理JWT secret而非明文存储在配置文件中2. 用户模型与数据持久化用户认证的核心是用户数据的正确管理。我们采用分层架构设计用户模块Entity Data NoArgsConstructor public class User { Id private String username; private String password; ElementCollection(fetch FetchType.EAGER) private SetString roles new HashSet(); }密码存储的安全至关重要Spring Security提供了多种PasswordEncoder实现Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); // 推荐使用BCrypt算法 }用户服务层应包含以下核心方法用户注册包含密码加密根据用户名查询用户角色权限管理密码更新与验证3. JWT认证流程深度解析JWT(JSON Web Token)已成为现代应用认证的事实标准。其核心优势在于无状态和自包含性。让我们分解JWT的生成与验证过程JWT生成流程用户提交凭据用户名/密码服务器验证凭据有效性生成包含用户身份信息的JWT签名并设置过期时间返回给客户端存储关键JWT工具类实现public class JwtUtils { private static final SecretKey SECRET_KEY Keys.hmacShaKeyFor( Decoders.BASE64.decode(jwtSecret)); public static String generateToken(String username) { return Jwts.builder() .setSubject(username) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() expiration * 1000)) .signWith(SECRET_KEY, SignatureAlgorithm.HS256) .compact(); } public static boolean validateToken(String token) { try { Jwts.parserBuilder() .setSigningKey(SECRET_KEY) .build() .parseClaimsJws(token); return true; } catch (JwtException e) { log.error(Invalid JWT: {}, e.getMessage()); return false; } } }4. Redis集成与状态管理虽然JWT本身是无状态的但实际应用中我们常需要一些状态控制。Redis的引入解决了以下关键问题Token主动失效用户登出防止Token盗用用户信息缓存并发登录控制Redis数据结构设计Key格式值类型说明过期时间auth:token:{username}String当前有效token同JWT过期时间auth:user:{username}Hash用户详细信息长期有效实现Token续期机制public void refreshToken(String username, String token) { // 设置与JWT相同的过期时间 redisTemplate.opsForValue().set( auth:token: username, token, Duration.ofSeconds(jwtExpiration) ); }5. Spring Security 6配置实战Spring Security 6摒弃了传统的WebSecurityConfigurerAdapter方式采用了更灵活的组件化配置。以下是核心安全配置Configuration EnableWebSecurity public class SecurityConfig { Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .csrf(csrf - csrf.disable()) .sessionManagement(session - session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) .authorizeHttpRequests(auth - auth .requestMatchers(/api/auth/**).permitAll() .anyRequest().authenticated() ) .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class); return http.build(); } Bean public WebSecurityCustomizer webSecurityCustomizer() { return web - web.ignoring() .requestMatchers(/swagger-ui/**, /v3/api-docs/**); } }关键变化与优势Lambda DSL配置更简洁组件化设计更灵活更好的与现代认证协议集成更清晰的异常处理机制6. 认证过滤器实现认证流程的核心是过滤器的正确实现。我们需要两个关键过滤器登录认证过滤器处理用户登录请求JWT验证过滤器验证每个请求的JWT有效性JWT认证过滤器示例public class JwtAuthFilter extends OncePerRequestFilter { Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { String token resolveToken(request); if (token null) { chain.doFilter(request, response); return; } try { if (jwtUtils.validateToken(token)) { String username jwtUtils.getUsernameFromToken(token); UserDetails userDetails loadUserFromCacheOrDb(username); UsernamePasswordAuthenticationToken authentication new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); authentication.setDetails( new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (JwtException e) { SecurityContextHolder.clearContext(); sendError(response, Invalid token); return; } chain.doFilter(request, response); } }7. 测试与验证策略完善的认证系统需要全面的测试覆盖。我们采用分层测试策略单元测试重点JWT生成与验证逻辑密码编码器行为Redis操作原子性集成测试场景Test void testLoginFlow() { // 注册新用户 registerUser(test, password); // 登录获取token String token loginAndGetToken(test, password); // 使用token访问受保护资源 given() .header(Authorization, Bearer token) .when() .get(/api/protected) .then() .statusCode(200); // 测试无效token given() .header(Authorization, Bearer invalid.token.here) .when() .get(/api/protected) .then() .statusCode(401); }性能考量JWT验证不应成为性能瓶颈Redis连接池合理配置缓存用户信息减少数据库查询8. 生产环境进阶考量当系统准备上线时还需要考虑以下关键因素安全加固措施实现HTTPS everywhere添加Rate Limiting防止暴力破解敏感操作的多因素认证完善的日志与审计跟踪高可用设计Redis集群部署Token黑名单机制灾备与恢复方案监控指标认证成功率/失败率Token生成与验证耗时Redis操作延迟并发会话数在开发过程中我发现最容易被忽视的是正确的异常处理。Spring Security 6提供了更精细的异常处理机制合理利用可以显著提升用户体验。例如区分无效凭证和账户锁定等不同情况给前端提供更明确的错误信息。